Đồ án cơ sở về vấn đề bảo mật trong VPN cho những bạn đang làm báo cáo. bên trong đã bao gồm cả phần hướng dẫn demo
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP.HCM ĐỒ ÁN CƠ SỞ TÌM HIỂU VỀ BẢO MẬT TRONG VPN Ngành: CÔNG NGHỆ THÔNG TIN Chuyên ngành: AN TỒN THƠNG TIN Giảng viên hướng dẫn: NGUYỄN MINH THẮNG Sinh viên thực hiện: PHẠM VĂN LỘC HOA MSSV: 1711061243 Lớp: 17DTHB1 TP.Hồ Chí Minh, 2020 LỜI NĨI ĐẦU Cùng với phát triển công nghệ thông tin Cơng nghệ mạng máy tính đặc biệt mạng Internet ngày phát triển đa dạng phong phú Các dịch vụ mạng Internet xâm nhập vào hầu hết lĩnh vực đời sống xã hội Các thông tin trao đổi Internet đa dạng nội dụng hình thức, có nhiều thơng tin cần bảo mật cao tính kinh tế, xác tin cậy Bên cạnh đó, dịch vụ mạng ngày có giá trị, yêu cầu phải đảm bảo tính ổn định an tồn cao Tuy nhiên hình thức phá hoại mạng trở lên tinh vi phức tạphơn, hệ thống, nhiệm vụ đặt cho người quản trị quan cần thiết Xuất phát từ thực tế nêu trên, giới xuất nhiều công nghệ liên quan tới bảo mật thông tin mạng máy tính, việc nắm bắt cơng nghệ cần thiết Chính vậy, thơng qua việc nghiên cứu cách tổng quan bảo mật hệ thống công nghệ cụ thể liên quan đến bảo mật thống, cơng nghệ Mạng Riêng Ảo (VPN-vitual Private Network) Trong đồ án em góp phần vào việc hiểu thêm nắm bắt kỹ thuật VPN doanh nghiệp nhà trường để phục vụ cho lĩnh vực học tập nghiên cứu LỜI CẢM ƠN Trong trình xây dựng đồ án này, em nhận nhiều ự giúp đỡ, góp ý, ủng hộ thầy NGUYỄN MINH THẮNG, thầy giáo trực tiếp hướng dẫn đồ án sở em, cảm ơn thầy NGUYỄN MINH THẮNG tạo điều kiện giúp đỡ em hoàn thành đồ án Bảo mật VPN vấn đề rộng Việt Nam, đồng thời kinh nghiệm kỹ thuật hạn chế, nội dụng đồ án chắn cịn nhiều sai sót, hy vọng thầy khoa Cơng Nghệ Thơng Tin đóng góp ý kiến bổ sung để em hồn thiện đồ án Em xin chân thành cảm ơn MỤC LỤC NHỮNG TỪ NGỮ VIẾT TẮT ISP Internet service Provider : Nhà cung cấp dịch vụ internet TCP/IP Transmission Control Protocol/Internet Protocol VPN Virtual Private Network Giao thức Kiểm soát Truyền / Giao thức Internet Mạng riêng ảo SoftEther Software Ethernet Phần mềm Ethernet AES Advanced Encryption Standard Chuẩn mã hóa cấp cao WAN Wide Are Network Mạng rộng ISDN Integrated Services Digital Network Dịch vụ tích hợp Mạng kỹ thuật số OC3 optical carrier-3 sóng mang-3 OSI Open Systems Interconnection Quality of Service Kết nối hệ thống mở Remote Access Server Point-to-point Protocol Internet Security Association and Key Management Protocol Máy chủ truy cập từ xa Giao thức điểm-điểm Hiệp hội bảo mật Internet giao thức quản lý khóa QoS RAS PPP ISAKMP Chất lượng dịch vụ CHƯƠNG I: TỔNG QUAN VỀ VPN 1: Tổng quan Trong thời đại Internet phát triển mạnh mẽ mặt mơ hình cho cơng nghiệp, đáp ứng nhu cầu người dùng Internet thiết kế để kết nối nhiều mạng khác nhâu cho phép thông tin chuyển đến người sử dụng cách tự nhanh chong mà không xem đến máy mạng mà người sử dụng dùng Để làm điều người ta sử dụng máy tính đặc biệt goih kaf Router để kết nối ác LAN WAN với Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP – Internet service Provider), cần giao thức chung TCP/IP Điều mà kỹ thuật tiếp tục phải giải lực truyền thông mạng viễn thông công cộng với Internet, dịch vụ giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế, nhiều điều khác trờ thành thực nhiên Internet có phạm vi tồn cầu khơng tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật ăn toàn liệu việc quản lý dich vụ Từ người ta đưa mơ hình mạng nhằm thoat mãn điều yêu cầu mà tận dụng lại sở hạ tầng có Internet, mơ hình mạng riêng ảo (Virtual Private Network - VPN) Với mơ hình này, người ta đầu tư thêm nhiều sở hạ tầng mà tính bảo mật, độ tin cậy đảm bảo, đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà riêng, đường hay văn phịng chi nhánh kết nối an toàn đến máy chủ tổ chức sở hạ tầng cung cấp mạng cơng cộng đảm bảo an tồn thông tin đại lý, người cung cấp, đối tác kinh doanh với môi trường truyền thông rộng lớn 1.1: Nhiệm vụ đồ án Ngày với phát triển bùng nổ, mạng internet ngày mở rộng, khó kiểm sốt kèm theo an tồn việc trao đổi thông tin mạng, thông tin liệu trao đổi mạng bị rị rỉ bị đánh cắp khiến cho tổ chức như: Các doanh nghiệp, ngân hàng, công ty … doanh nhân lo ngại vấn đề an toàn thông tin liệu mạng cục trao đổi thơng tin qua mạng cơng cộng Internet VPN (Vitual Private Network) giải pháp đưa để cung cấp giải pháp an toàn cho các: Tổ chức, doanh nghiệp,… doanh nhân trao đổi thơng tin từ mạng cục bơ xun qua mạng Internet cách an toàn bảo mật Hơn cịn giúp cho doanh nghiệp giảm cho phí cho liên kết từ xa địa bàn rộng (trên tồn quốc tồn cầu) 1.1.1: Ý nghĩa khoa học thực tiễn VPN cung cấp nhiều đặc tính so với mạng truyền thơng mạng leased-line Với nhiều lợi ích như: • Chi phí thấp mạng riêng: VPN giảm chi phí truyền tới 20-40% so với mạng thuộc mạng leased-line giảm việc chi phí truy cập từ xa từ 60-80% • Tính linh hoạt cho khả kinh tế Internet: VPN vốn có tính linh hoạt leo thang kiến trúc mạng mạng cổ điển, cách hoạt động kinh doanh nhanh chóng chi phí cách hiệu cho việc kết nối từ xa văn phòng, vị trí ngồi quốc tế 1.1.2: Mục tiêu nghiên cứu Giao thức SoftEther (Software Ethernet) giao thức mới, lần mắt vào năm 2014 Giống giao thức OpenVPN, SoftEther có mã nguồn mở SoftEther hỗ triwj giao thức mã hóa mạnh nhất, bao gồm AES-256 4096-bit SoftEther cung cấp tốc độ giao tiếp lơn so với hầu hết giao thức, bao gồm giao thức sử dụng nhiều OpenVPN, tốc độ liệu định Nó khơng hỗ trợ hệ điều hành riêng cài đặt nhiều hệ điều hành, bao gồm Windows, Mac, Android, IOS, Linux Unix Là giao thức mới, SoftEther không hỗ trờ nhiều số giao thức khác SoftEther không tồn đủ lâu OpenVPN, nên người dung chưa có nhiều thời gian để kiểm tra điểm yeeuscuar giao thức Tuy nhiên, SoftEther ứng cử viên nặng ký cho cần chất lượng bảo mật hàng đầu 1.2: cấu trúc đồ án Đồ án bao gồm chương: • Chương I TỔNG QUAN: Giới thiệu ngắn gọn đề tài, nêu tóm tắt lý thuyết, nghiên cứu có liên quan tới đề tài • Chương II CƠ SỞ LÝ THUYẾT: Trình bày khái niệm phương pháp giải vấn đề tác giả bao gồm mô tả công nghệ, hệ thống, ràng buộc giải pháp mới, mơ hình tốn, lý giải xây dựng mơ hình, … Chương III KẾT QUẢ THỰC NGHIỆM: Mô tả công việc thực nghiệm đề tài tiến hành, kết nghiên cứu lý thuyết, kết thực nghiệm đạt Đối với đề tài ứng dụng có kết 10 Hình 2.1 Mơ hình mạng VPN truy cập Một số thành phần : Remote Access Server (RAS) : đặt trung tâm có nhiệm vụ xác nhận chứng nhận yêu cầu gửi tới Quay số kết nối đến trung tâm, điều làm giảm chi phí cho số yêu cầu xa so với trung tâm Hỗ trợ cho người có nhiệm vụ cấu hình, bảo trì quản lý RAS hỗ trợ truy cập từ xa người dùng Bằng việc triển khai Remote Access VPNs, người dùng từ xa chi nhánh văn phòng cần cài đặt kết nối cục đến nhà cung cấp dịch vụ ISP ISP’s POP kết nối đến tài nguyên thông qua Internet Internet Người dùng từ xa Đường hầm Trung tâm liệu Tường lửa Sử dụng di động Server Đường hầm Server 16 Văn phòng từ xa Hình 2.2: Cài đặt Remote Access VPN Thuận lợi Remote Access VPNs : Sự cần thiết RAS việc kết hợp với modem loại trừ Sự cần thiết hỗ trợ cho người dung cá nhân loại trừ kết nối từ xa tạo điều kiện thuận lợi bời ISP Việc quay số từ khoảng cách xa loại trừ , thay vào đó, kết nối với khoảng cách xa thay kết nối cục Giảm giá thành chi phí cho kết nối với khoảng cách xa Do kết nối mang tính cục bộ, tốc độ nối kết cao so với kết nối trực tiếp đến khoảng cách xa VPNs cung cấp khả truy cập đến trung tâm tốt hỗ trợ dịch vụ truy cập mức độ tối thiểu cho dù có tăng nhanh chóng kết nối đồng thời đến mạng Ngoài thuận lợi trên, VPNs tồn số bất lợi khác : Remote Access VPNs không bảo đảm chất lượng phục vụ Khả liệu cao, thêm phân đoạn gói liệu ngồi bị thất Do độ phức tạp thuật toán mã hoá, protocol overhead tăng đáng kể, điều gây khó khăn cho trình xác nhận Thêm vào đó, việc nén liệu IP PPPbased diễn vô chậm chạp tồi tệ Do phải truyền liệu thông qua Internet, nên trao đổi liệu lớn gói liệu truyền thơng, phim ảnh, âm chậm 17 2.2.2: Các VPN nội (Intranet VPNs): Intranet VPNs sử dụng để kết nối đến chi nhánh văn phòng tổ chức đến Corporate Intranet (backbone router) sử dụng campus router Theo mơ hình tốn chi phí phải sử dụng router để thiết lập mạng, thêm vào đó, việc triển khai, bảo trì quản lý mạng Intranet Backbone tốn tùy thuộc vào lượng lưu thơng mạng phạm vi địa lý toàn mạng Intranet Ðể giải vấn đề trên, tốn WAN backbone thay kết nối Internet với chi phí thấp, điều giảm lượng chi phí đáng kể việc triển khai mạng Intranet Intranet VPNs VPN nội đươc sử dụng để bảo mật kết nối địa điểm khác công ty Điều cho phép tất địa điểm truy cập nguồn liệu phép tồn mạng cơng ty Các VPN nội liên kết trụ sở chính, văn phòng, văn phòng chi nhánh sở hạ tầng chung sử dụng kết nối mà ln ln mã hố Kiểu VPN thường cấu VPN Site-to-Site Hình 2.3 Mơ hình mạng VPN nội Những thuận lợi Intranet setup dựa VPN: 18 Hiệu chi phí giảm số lượng router sử dụng theo mơ hình WAN backbone Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, trạm số remote site khác Bởi Internet hoạt động kết nối trung gian, dễ dàng cung cấp kết nối ngang hàng Kết nối nhanh tốt chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề khoảng cách xa thêm giúp tổ chức giảm thiểu chi phí cho việc thực Intranet Những bất lợi kết hợp với cách giải : Bởi liệu cịn tunnel suốt q trình chia mạng cơng cộngInternet-và nguy công, công từ chối dịch vụ (denial-ofservice), mối đe doạ an tồn thơng tin Khả liệu lúc di chuyễn thông tin cao Trong số trường hợp, liệu loại high-end, tập tin mulltimedia, việc trao đổi liệu chậm chạp truyền thông qua Internet Do kết nối dựa Internet, nên tính hiệu khơng liên tục, thường xun, QoS không đảm bảo 2.2.3: Các VPN mở rộng (Extranet VPNs): Không giống Intranet Remote Access-based, Extranet khơng hồn tồn cách li từ bên ngồi (outer-world), Extranet cho phép truy cập tài nguyên mạng cần thiết đối tác kinh doanh, chẳng hạn khách hàng, nhà cung cấp, đối tác người giữ vai trò quan trọng tổ chức Mạng Extranet tốn có nhiều đoạn mạng riêng biệt Intranet kết hợp lại với để tạo Extranet Ðiều làm cho khó triển khai quản lý có nhiều mạng, đồng thời khó khăn cho cá nhân làm cơng việc bảo trì quản trị Thêm mạng Extranet khó mở rộng điều làm rối tung toàn mạng 19 Intranet ảnh hưởng đến kết nối bên ngồi mạng Sẽ có vấn đề bạn gặp phải kết nối Intranet vào mạng Extranet Triển khai thiết kế mạng Extranet ác mộng nhà thiết kế quản trị mạng Hạ tầng Mạng nhà Cung cấp Mạng chung Mạng nhà Cung cấp Mạng nhà Cung cấp Nhà cung cấp Dịch vụ 1Nhà cung cấp Dịch vụ Nhà cung cấp Dịch vụ Hình 2.4: Thiết lập Extranet truyền thống Các VPN mở rộng cung cấp đường hầm bảo mật khách hàng, nhà cung cấp, đối tác qua sở hạ tầng công cộng sử dụng kết nối mà luôn bảo mật Kiểu VPN thường cấu VPN Siteto-Site Sự khác VPN nội VPN mở rộng truy cập mạng mà công nhận hai đầu cuối VPN Hình minh hoạ VPN mở rộng 20 Hình 2.5 Mơ hình mạng VPN mở rộng Một số thuận lợi Extranet : Do hoạt động môi trường Internet, lựa chọn nhà phân phối lựa chọn đưa phương pháp giải tuỳ theo nhu cầu tổ chức Bởi phần Internet-connectivity bảo trì nhà cung cấp (ISP) nên giảm chi phí bảo trì th nhân viên bảo trì Dễ dàng triển khai, quản lý chỉnh sửa thông tin Một số bất lợi Extranet : Sự đe dọa tính an tồn, bị cơng từ chối dịch vụ cịn tồn Tăng thêm nguy hiểm xâm nhập tổ chức Extranet Do dựa Internet nên liệu loại high-end data việc trao đổi diễn chậm chạp Do dựa Internet, QoS không bảo đảm thường xuyên Hạ tầng Mạng chung Internet Nhà cung cấp Dịch vu 1Nhà cung cấp Dịch vu Nhà cung cấp Dịch vu Hình 2.6: Thiết lập Extranet VPN 21 22 cce a ote m Re N VP s s Rem ote acc es s VP PNN V t ne a r t In t ne tra Ex VP N Doanh nghiệp đối tác 23 Chi Hình 2.7 Ba loại mạng riêng ảo CHƯƠNG III: MƠ HÌNH THỰC NGHIỆM 3.1: Mơ hình Hình 3.1: mơ hình đồ án 3.2: Các thiết bị triển khai Những thiết bị cần để xây dựng mơ hình: Sever-PT SW-ACC SW-core Router ISR4321 PC 24 3.3: Các bước triển khai Đầu tiên thực đặt địa IP cho thiết bị kết nối cổng loại liên kết phù hợp (hồn thành mơ hình, tiếp đến phần cấu hình) Hình 3.2: Đặt địa IP kết nối thiết bị Thực cấu hình (IP…) cho thiệt bị cần thiết mơ hình Triển khai phương thức cấu hình học cần thiết cho mục đích cần đạt Bước 1: Bật aaa new-model tạo user Bước 2: Khởi tạo ISAKMP Policy Bước 3: Tạo Bước 3: IP Local Pool để cấp IP cho VPN Client Bước 4: Tạo ISAKMP Key gán pool vào 25 Bước 5: Tạo Crypto IPSec Transform Set Bước 6: Tạo Crypto Map gán transform-set vào Bước 7: Apply Crypto Map vào interface wan Bước 8: từ Bước 8: Client 172.16.1.10 BR, mở VPN Configuration thiết lập thông số VPN chọn Connect : Bước 9: xem địa IP mà client nhận từ local pool 26 Bước 10: Ping thử từ Client 172.16.1.10 tới Server 10.0.0.10 10.0.1.10 HQ Bước 11: Kiểm tra Router lệnh "show crypto isakmp sa" "show crypto ipsec sa" Bước 12: Kiểm chứng 27 28 CHƯƠNG IV: KẾT LUẬN 4.1: Tóm tắt Sau khoảng thời gian làm đồ án Cùng với hỗ trợ giảng viên hướng dẫn Nguyễn Minh Thắng Em hoàn thành mục sau: Ý nghĩa khoa học thực tiễn VPN Mục tiêu nghiên cứu bảo mật VPN Tổng quan VPN khái niệm ưu nhược điểm thuận lợi khó khăn Giới thiệu thêm kiểu VPN thơng dụng Trình bày sơ lược cách thức hoạt động, giải pháp buộc VPN Xây dựng mơ hình VPN client to site Một số vấn đề tồn đồ án: VPN vấn đề rộng Việt Nam, đồng thời kinh nghiệm kỹ thuật hạn chế, nội dụng đồ án chắn nhiều sai sót 4.2: Hướng phát triển đồ án Tìm hiểu hồn thiện thiếu sót đồ án Tìm hiểu thêm mơ hình VPN khác Xây dựng mơ hình lớn hồn thiện Tìm hiểu sâu giao thức VPN 29 TÀI LIỆU THAM KHẢO [1] https://123doc.net/document [2] NGÔ VĂN TỰ CƯƠNG & TRẦN QUỐC NHẬT TRUNG (2014) bảo vệ hệ thông mạng VPN Đại học Bách Khoa Tp.HCM [3] https://thuvienmienphi.com/ [4] https://tech.bizflycloud.vn [5] https://quantrimang.com [6] https://mona.media [7] https://www.totolink.vn [8] http://vksbacninh.gov.vn 30 ... Các VPN mở rộng cung cấp đường hầm bảo mật khách hàng, nhà cung cấp, đối tác qua sở hạ tầng công cộng sử dụng kết nối mà luôn bảo mật Kiểu VPN thường cấu VPN Siteto-Site Sự khác VPN nội VPN mở... dịch vụ IP VPN phải tương thích với thiết bị có họ • Tính bảo mật (security) Tính bảo mật cho khách hàng yếu tố quan trọng giải pháp VPN Người sử dụng cần đảm bảo liệu thông qua mạng VPN đạt mức... trên, ngày VPNs phát triển phân chia làm phân loại sau : Remote Access VPNs Intranet VPNs Extranet VPNs 2.2.1: Các VPN truy cập (Remote Access VPNs) Giống gợi ý tên gọi, Remote Access VPNs cho